Datalek Protocol voor Orphyum.nl
- Inleiding
Orphyum.nl heeft een datalekprotocol opgesteld om adequaat te reageren op mogelijke inbreuken op persoonsgegevens. Dit protocol waarborgt naleving van de Algemene Verordening Gegevensbescherming (AVG) en minimaliseert risico’s voor betrokkenen. - Wat is een datalek?
Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren gaan of onrechtmatig worden verwerkt. Dit omvat onder andere:
- Onopzettelijk verlies of verwijdering van gegevens;
- Toegang door onbevoegde personen;
- Ongeoorloofde openbaarmaking van gegevens.
- Doel van dit protocol
Het doel van dit protocol is:
- Het snel identificeren en beoordelen van een datalek;
- Het beperken van schade voor betrokkenen;
- Het voldoen aan wettelijke verplichtingen, zoals melding bij de Autoriteit Persoonsgegevens.
- Procedure bij een vermoedelijk datalek
4.1. Detectie en melding
- Alle medewerkers zijn verplicht een vermoeden van een datalek direct te melden bij de Functionaris Gegevensbescherming (FG) of de verantwoordelijke voor gegevensbescherming.
- De melding moet bevatten:
- Datum en tijdstip van ontdekking;
- Beschrijving van het incident;
- Betrokken systemen, gegevens en personen.
4.2. Beoordeling van het incident
De FG beoordeelt:
- Of sprake is van een datalek volgens de AVG-definitie;
- De ernst van het datalek, met inachtneming van:
- De aard en omvang van de betrokken persoonsgegevens;
- De mogelijke gevolgen voor betrokkenen.
4.3. Beperken van schade
Indien mogelijk worden direct maatregelen genomen om verdere schade te beperken, zoals:
- Het afsluiten van getroffen systemen;
- Het wijzigen van wachtwoorden;
- Het informeren van betrokken medewerkers.
- Meldingsplicht
5.1. Meldingen aan de Autoriteit Persoonsgegevens (AP)
- Een datalek wordt gemeld bij de AP indien sprake is van risico’s voor de rechten en vrijheden van betrokkenen.
- De melding moet binnen 72 uur na ontdekking worden gedaan en bevat:
- De aard van het datalek;
- De categorieën en aantallen van betrokkenen en gegevens;
- De genomen of voorgestelde maatregelen.
5.2. Informeren van betrokkenen
- Betrokkenen worden geïnformeerd indien het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden.
- De communicatie omvat:
- Een duidelijke beschrijving van het incident;
- Mogelijke gevolgen;
- Aanbevolen maatregelen voor betrokkenen.
- Documentatie
Alle datalekken, ongeacht de meldingsplicht, worden gedocumenteerd. Deze documentatie bevat:
- Een gedetailleerde beschrijving van het incident;
- De beoordeling van risico’s;
- De genomen maatregelen;
- Eventuele meldingen aan de AP en/of betrokkenen.
- Evaluatie en preventie
Na elk datalek wordt een evaluatie uitgevoerd om:
- De oorzaak vast te stellen;
- Processen en beveiligingsmaatregelen te verbeteren;
- Herhaling te voorkomen.
- Verantwoordelijkheden
- De FG of verantwoordelijke voor gegevensbescherming coördineert alle acties in het kader van dit protocol.
- Alle medewerkers zijn verplicht incidenten direct te melden en mee te werken aan het onderzoek.
- Training en bewustwording Regelmatige training en bewustwordingscampagnes worden georganiseerd om medewerkers te informeren over:
- Het herkennen en melden van datalekken;
- Het belang van gegevensbescherming.
- Contactinformatie
Voor meldingen of vragen met betrekking tot datalekken kunt u contact opnemen met:
Orphyum.nl
info@orphyum.nl
+31 (0)6 12345678
Straatnaam 123, 1234 AB, Plaatsnaam
KvK-nummer: 12345678
BTW-nummer: NL123456789B01
Dit datalekprotocol is voor het laatst bijgewerkt op 01-01-2025.